Marco Zuppelli
10 giugno 2021 - SESSIONE 3: CYBERSECURITY
Rilevamento Efficiente di Covert Channel Preservando la Riservatezza del Traffico
An Efficient and Privacy-Aware Method for Revealing Network Covert Channels
Rilevamento Efficiente di Covert Channel Preservando la Riservatezza del Traffico
Marco Zuppelli è uno studente di dottorato presso l'Università degli Studi di Genova e un assegnista di ricerca presso l'Istituto di Matematica Applicata e Tecnologie Informatiche del Consiglio Nazionale delle Ricerche.
All'interno del Progetto Europeo SIMARGL (Secure Intelligent Methods for Advanced RecoGnition of malware and stegomalware), sta studiando nuovi metodi per la rilevazione di malware che utilizzano tecniche steganografiche. In particolare, si occupa dell'utilizzo di meccanismi a livello kernel per la raccolta efficiente, scalabile ed estendibile di informazioni per il rilevamento di covert channel locali e di rete.
Marco Zuppelli is a second year PhD student at University of Genoa and a research fellow at the Institute for Applied Mathematics and Information Technologies of the National Research Council of Italy. Within the European Project SIMARGL (Secure Intelligent Methods for Advanced RecoGnition of malware and stegomalware), he investigates novel detection methods for steganographic malware exploiting both network and local covert channels. His main research interests are the use of in-kernel methodologies (e.g., the extended Berkeley Packet Filter) to collect information on software/network components, and the design of mechanisms for detecting malicious communications in an efficient, scalable and extensible manner.
Abstract IT:
ABSTRACT
Sempre più spesso, i malware sfruttano i covert channel di rete per agire indisturbati ed aggirare i sistemi standard di rilevazione. Identificare questo tipo di comunicazioni richiede la raccolta e l'ispezione del traffico, operazioni che possono causare problemi di riservatezza e/o scalabilità. In questo lavoro, presenteremo una metodologia per il rilevamento di covert channel di rete che sfrutta le potenzialità dell'extended Berkeley Packet Filter, un meccanismo di code augmentation per i kernel Linux. Come tecnica di rilevamento, proponiamo un sistema di contatori che non utilizza o immagazzina dati sensibili (ad esempio, indirizzi o identificatori univoci). La metodologia è stata testata su diversi covert channel basati su IPv6 e i risultati mostrano la possibilità di individuare efficacemente comunicazioni nascoste, pur preservando la riservatezza degli utenti.
The ability of creating covert channels within network traffic is increasingly exploited by malware to elude detection and remain unnoticed. Unfortunately, spotting such hidden communication attempts often requires to evaluate composite and huge volumes of data, which may lead to scalability and privacy issues. Therefore, we present an efficient method for computing suitable indicators to reveal the presence of covert channels within the bulk of traffic. To met performance criteria, we exploit code augmentation features of the Linux kernel. Privacy is guaranteed by using a counter-based mechanism, which does not require to store information on the fields of the header. We tested our idea with different covert channels targeting IPv6 traffic and results indicate that network covert channels can be detected in a scalable manner without violating the privacy of users.
